Threats
Grupo norte-coreano utiliza táticas de engenharia social e malware sofisticado para roubar informações confidenciais
17/02/2025
|
O Lazarus Group foi recentemente associado a uma campanha que envolve a utilização de malware infostealer direcionado a programadores de software, com o objetivo de roubar informações confidenciais dos sistemas das vítimas. O ataque recorre a táticas de engenharia social, incluindo falsas entrevistas de emprego e pacotes NPM comprometidos, para enganar os programadores e levá-los a executar scripts maliciosos. A campanha de malware segue uma abordagem modular e em múltiplas fases, utilizando técnicas como codificação Base64 e compressão zlib para ofuscar o código malicioso. De acordo com Rayssa Cardoso, uma investigadora de cibersegurança, foi identificada uma componente-chave do ataque: um script Python que usa uma função lambda para descodificar e executar o malware. Este script inverte a string de entrada, descodifica-a usando Base64, descomprime o resultado com zlib e, em seguida, executa o código Python reconstruído através da função exec(). A estrutura do malware inclui vários ficheiros e pastas, como o script.py, que contém instruções para chamar outras funções de script; a pasta sysinfo, que deteta o sistema operativo da vítima e comunica com o servidor de Comando e Controlo (C2) na porta 1224; e a pasta n2, que lê chaves de registo, armazena informações recolhidas, instala bibliotecas necessárias e reúne dados sobre o sistema e a geolocalização. O grupo Lazarus recorre a diversas táticas de engenharia social, como o método “ClickFix”, em que os utilizadores são induzidos a executar scripts maliciosos ao clicarem em botões aparentemente legítimos. Outra abordagem envolve perfis falsos de recrutadores em plataformas como LinkedIn e GitHub, onde os programadores são convidados a participar em entrevistas online. Durante estas entrevistas, os candidatos são instruídos a executar códigos maliciosos, o que resulta na instalação de malware. A campanha utiliza vários tipos de malware, incluindo o BeaverTail (JavaScript), que atua como carregador; o InvisibleFerret (Python), que funciona como backdoor e infostealer; e o Tsunami, um backdoor, RAT e infostealer utilizado na campanha Operation99. |
Receba todas as novidades na sua caixa de correio!
THREATS
CISA alerta para ataques em curso a falha crítica no Microsoft Outlook
THREATS
Falha crítica no SharePoint Connector da Microsoft expôs credenciais de utilizadores
THREATS
Dispositivos de rede alvo de ataque de força bruta com 2,8 milhões de endereços de IP
THREATS
Vulnerabilidades no OpenSSH expõem utilizadores a ataques MitM e DoS
THREATS
Falhas de segurança críticas levam CISA a reforçar alertas de cibersegurança
THREATS
Cibercriminosos usam sites falsos do Reddit e WeTransfer para espalhar Lumma Stealer
THREATS
Ivanti e Fortinet corrigem falhas com novas atualizações
THREATS
DeepSeek levanta preocupações ao falhar testes de segurança
THREATS
Adobe corrige 45 falhas de segurança em software
THREATS
Microsoft lança correções para vulnerabilidades zero-day exploradas
